Список отзыва сертификатов аутентификации Microsoft Entra на основе сертификатов (CRL)

Список отзыва сертификатов (CRL) — это список сертификатов, которые были отозваны центром сертификации (ЦС) до запланированной даты окончания срока действия. CrLs являются важными для поддержания целостности проверки подлинности. Если сертификат отозван, он помечается как недоверенный, даже если срок действия не истек. Включение списков отзыва сертификатов (CRL) в проверку подлинности на основе сертификатов гарантирует, что принимаются только действительные, не отозванные сертификаты, и Microsoft Entra ID блокирует любую попытку использования отозванного сертификата.

Списки отозванных сертификатов подписываются удостоверяющим центром и публикуются в общедоступных местах, что позволяет их скачать через Интернет для проверки статуса отзыва сертификатов. Когда клиент представляет сертификат для проверки подлинности, система проверяет список отзыва сертификатов, чтобы определить, был ли отозван сертификат.

Если сертификат найден в списке отзыва сертификатов, попытка проверки подлинности отклоняется. CRL периодически обновляются, и организации должны гарантировать, что у них есть последняя версия CRL, чтобы принимать точные решения о действительности сертификата.

В Microsoft Entra при проверке подлинности на основе сертификатов (CBA), когда настроены списки отзыва сертификатов (CRL), система должна получить и проверить CRL во время аутентификации. Если Microsoft Entra ID не удается получить доступ к конечной точке CRL, проверка подлинности завершается ошибкой, так как для подтверждения действительности сертификата требуется CRL.

Принцип работы CRL в проверке подлинности на основе сертификатов

CRL работает путем предоставления механизма проверки допустимости сертификатов, используемых для проверки подлинности. Процесс состоит из нескольких ключевых этапов:

  • Выдача сертификата: Если сертификат выдан ЦС, он действителен до истечения срока действия, если он не будет отменен ранее. Каждый сертификат содержит открытый ключ и подписан ЦС.

  • Отзыв: Если сертификат необходимо отозвать (например, если закрытый ключ скомпрометирован или сертификат больше не нужен), ЦС добавляет его в CRL.

  • Распределение CRL: ЦС публикует CRL в расположении, доступном клиентами, например веб-сервером или службой каталогов. CRL обычно подписывается центром сертификации, чтобы обеспечить её целостность. Если CRL не подписан центром сертификации, возникает ошибка шифрования AADSTS2205015 и выполните действия, описанные в разделе "Вопросы и ответы по устранению проблемы".

  • Проверка клиента: Когда клиент представляет сертификат для проверки подлинности, система извлекает список отзыва сертификатов для каждого ЦС в цепочке сертификатов из опубликованных расположений и проверяет наличие отзываемых ЦС. Если какая-либо точка списка отзыва сертификатов недоступна, происходит ошибка проверки подлинности, так как система не может проверить статус отзыва сертификата.

  • Аутентификация: Если сертификат найден в списке отозванных сертификатов, попытка аутентификации отклоняется, и клиенту запрещен доступ. Если сертификат не находится в списке отзыва сертификатов, проверка подлинности выполняется как обычная.

  • Обновления CRL: CRL периодически обновляется центром сертификации, и клиенты должны убедиться, что у них есть последняя версия, чтобы принять точные решения о действительности сертификата. Система кэширует список отзыва сертификатов в течение определенного периода, чтобы уменьшить сетевой трафик и повысить производительность, но также регулярно проверяет наличие обновлений.

Понимание процесса аннулирования сертификатов в системе аутентификации Microsoft Entra на основе сертификатов

Процесс отзыва сертификата позволяет администраторам политики проверки подлинности отозвать ранее выданный сертификат, чтобы его нельзя было использовать для последующей проверки подлинности.

Администраторы политики проверки подлинности настраивают точку распространения CRL во время процесса установки доверенных издателей в клиенте Microsoft Entra. У каждого издателя должен быть CRL (список отзыва сертификатов), на который можно ссылаться с помощью URL-адреса, доступного через Интернет. Дополнительные сведения см. в разделе "Настройка центров сертификации".

Microsoft Entra ID поддерживает только одну конечную точку CRL и поддерживает только HTTP или HTTPS. Мы рекомендуем использовать ПРОТОКОЛ HTTP вместо HTTPS для распространения CRL. Проверки CRL происходят во время аутентификации на основе сертификатов, и любые задержки или сбои при извлечении CRL могут блокировать аутентификацию. Использование HTTP сводит к минимуму задержку и избегает потенциальных циклических зависимостей, вызванных HTTPS (что само по себе требует проверки сертификата). Чтобы обеспечить надежность, размещайте списки отзыва сертификатов (CRL) на высокодоступных конечных точках HTTP и убедитесь, что они доступны через интернет.

Это важно

Максимальный размер CRL для Microsoft Entra ID, чтобы успешно загрузить его в ходе интерактивного входа, составляет 20 МБ в общедоступной Microsoft Entra ID и 45 МБ в облаках Azure US Government. Время, необходимое для загрузки списка отзыва сертификатов, не должно превышать 10 секунд. Если Microsoft Entra ID не удается скачать список отзыва сертификатов (CRL), аутентификация на основе сертификатов, выданных соответствующим ЦС, завершается сбоем. Рекомендуется хранить файлы CRL в пределах ограничений размера, сохранять сроки существования сертификатов в разумных ограничениях и очищать просроченные сертификаты.

  1. Когда пользователь выполняет интерактивный вход с сертификатом, Microsoft Entra ID загружает и кэширует список отзыва сертификатов клиента из центра сертификации, чтобы проверить, отозваны ли сертификаты во время проверки подлинности пользователя. Microsoft Entra использует атрибут SubjectKeyIdentifier вместо SubjectName для создания цепочки сертификатов. Если списки отзыва включены, конфигурации PKI должны включать значения SubjectKeyIdentifier и идентификатора ключа удостоверяющего центра, чтобы обеспечить правильную проверку отзыва.

    SubjectKeyIdentifier предоставляет уникальный неизменяемый идентификатор для открытого ключа сертификата, что делает его более надежным, чем SubjectName, который может изменять или дублироваться по сертификатам. Этот атрибут обеспечивает точную сборку цепочки и согласованную проверку CRL в сложных средах инфраструктуры открытых ключей (PKI).

    Это важно

    Если администратор политики аутентификации пропускает конфигурацию списка отзыва сертификатов (CRL), Microsoft Entra ID не выполняет никаких проверок списка отзыва сертификатов (CRL) в ходе аутентификации на основе сертификатов пользователя. Это поведение может быть полезно для первоначального устранения неполадок, но не следует рассматривать для использования в рабочей среде.

    • Только базовый CRL: если настроен только базовый CRL, Microsoft Entra ID скачивает и кэширует его до отметки времени следующего обновления. Проверка подлинности завершается ошибкой, если срок действия CRL истек и не может быть обновлен из-за проблем с подключением или если конечная точка CRL не предоставляет обновленную версию. Microsoft Entra строго применяет управление версиями CRL: при публикации нового списка отзыва сертификатов его номер CRL должен быть выше предыдущей версии.

      Номер CRL обеспечивает монотонную версионность, предотвращая атаки воспроизведения, при которых старый CRL может быть повторно введен для обхода проверок аннулирования. Microsoft Entra ID обеспечивает, что самые последние данные отзыва всегда используются, требуя, чтобы каждый новый CRL имел более высокий номер версии.

    • Base + Delta CRL: если оба настроены, оба должны быть допустимыми и доступными. Если отсутствует хотя бы один из элементов или срок его действия истек, проверка подлинности сертификата завершается неудачно в соответствии со стандартами RFC 5280.

  2. Аутентификация на основе сертификата пользователя завершается ошибкой, если CRL настроен для доверенного издателя и Microsoft Entra ID не может загрузить CRL из-за ограничений доступности, размера или задержки. Это ограничение делает конечную точку списка отзыва сертификатов критически важной точкой сбоя, что снижает устойчивость проверки подлинности на основе сертификатов Microsoft Entra ID. Чтобы устранить этот риск, рекомендуется использовать высокодоступные решения, обеспечивающие непрерывное время простоя для конечных точек CRL.

  3. Если список отзыва сертификатов превышает интерактивное ограничение для облака, начальный вход пользователя завершается сбоем со следующей ошибкой:

    The Certificate Revocation List (CRL) downloaded from {uri} has exceeded the maximum allowed size ({size} bytes) for CRLs in Microsoft Entra ID. Try again in few minutes. If the issue persists, contact your tenant administrators.

  4. Microsoft Entra ID пытается скачать список отзыва сертификатов (CRL) с учетом ограничений на стороне службы: 65 МБ в общей доступности Microsoft Entra ID и 150 МБ в Azure для правительства США.

  5. Пользователи могут повторить проверку подлинности через несколько минут. Если сертификат пользователя отозван и отображается в списке отозванных сертификатов, проверка подлинности не проходит.

    Это важно

    Аннулирование токена для отозванного сертификата не происходит мгновенно из-за кеширования CRL. Если список отзыва сертификатов уже кэширован, вновь отозванные сертификаты не обнаруживаются до обновления кэша с обновленным списком отзыва сертификатов. Разностные списки отзыва сертификатов (delta CRL) обычно включают эти обновления, поэтому отзыв вступает в силу после загрузки разностного списка. Если разностные списки отзыва не используются, отзыв зависит от периода действия базового списка отзыва. Администраторы должны вручную отозвать маркеры, только если немедленное отзыв является критически важным, например в сценариях высокой безопасности. Дополнительные сведения см. в разделе "Настройка отзыва".

  6. В связи с производительностью и надежностью протокол OCSP не поддерживается. Вместо того чтобы клиентский браузер загружал CRL при каждом подключении, Microsoft Entra ID загружает его однажды при первой авторизации и кэширует. Это действие повышает производительность и надежность проверки списка отозванных сертификатов. Мы также индексируем кэш, чтобы поиск был гораздо быстрее каждый раз.

  7. Если Microsoft Entra успешно скачивает список отзыва сертификатов, он кэширует и повторно использует список отзыва сертификатов для любого последующего использования. Он учитывает дату следующего обновления Next update date и, если это возможно, Next CRL Publish date (используется центрами сертификации Windows Server) в документе CRL.

  8. Если сертификат пользователя указан как отозванный в Списке аннулированных сертификатов, проверка подлинности пользователя не удаётся.

    Снимок экрана: отозванный сертификат пользователя в списке отзыва сертификатов.

    Это важно

    Из-за характера циклов кэширования и публикации CRL настоятельно рекомендуется, в случае отзыва сертификата, также отменить все сеансы пользователя, затронутого этой операцией, в Microsoft Entra ID.

  9. Microsoft Entra ID пытается загрузить заново новый список отзыва сертификатов из точки распространения, если истек срок действия кэшированного списка CRL. Если у CRL указана "Следующая дата публикации", Microsoft Entra выполняет предварительные выборки CRL, даже если срок действия CRL в кэше не истек. На данный момент нет способа вручную принудительно или повторно инициировать загрузку списка отозванных сертификатов.

    Замечание

    Microsoft Entra ID проверяет списки отзыва сертификатов (CRL) выдавшего и других центров сертификации (ЦС) в цепочке доверия PKI до корневого ЦС. У нас есть ограничение до 10 ЦС из конечного сертификата клиента для проверки CRL в цепочке PKI. Ограничение заключается в том, чтобы гарантировать, что злоумышленник не отключает службу, отправляя цепочку PKI с большим количеством Удостоверяющих центров и с большим размером CRL. Если в цепочке PKI клиента более 10 ЦС, а при компрометации ЦС администраторы политики проверки подлинности должны удалить скомпрометированный доверенный издатель из конфигурации клиента Microsoft Entra. Дополнительные сведения см. в статье о предварительной выборке CRL.

Настройка отзыва

Чтобы отозвать сертификат клиента, Microsoft Entra ID извлекает список отзыва сертификатов (CRL) из URL-адресов, отправленных в рамках сведений центра сертификации и кэширует его. Последняя метка времени публикации (свойство Effective Date) в CRL используется, чтобы убедиться, что CRL все еще действителен. Список отзыва сертификатов периодически проверяется для отзыва доступа к сертификатам, включенным в список.

Немедленная отмена сеансов с помощью Entra CBA

Существует множество сценариев, которые могут потребовать от администратора немедленно отозвать все маркеры сеанса, чтобы весь доступ для пользователя был отозван. К таким сценариям относятся

  • скомпрометированные учетные записи
  • завершение работы сотрудника
  • Сбой Entra, при котором используются кэшированные учетные данные, без проверки CRL
  • другие внутренние угрозы.

Если требуется более быстрый отзыв (например, если пользователь потерял устройство), то маркер авторизации пользователя можно сделать недействительным. Чтобы сделать маркер авторизации недействительным, задайте поле StsRefreshTokensValidFrom для конкретного пользователя с помощью Windows PowerShell. Необходимо обновить поле StsRefreshTokensValidFrom для каждого пользователя, для которого требуется отозвать доступ.

Чтобы убедиться, что отзыв сохраняется, необходимо установить дату вступления в силу списка отозванных сертификатов на дату после значения, заданного StsRefreshTokensValidFrom, и убедиться, что соответствующий сертификат включен в этот список.

Ниже описан процесс обновления и аннулирования токена авторизации путем задания поля StsRefreshTokensValidFrom.

# Authenticate to Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"

# Get the user
$user = Get-MgUser -UserPrincipalName "test@yourdomain.com"

# Get the StsRefreshTokensValidFrom property
$user.StsRefreshTokensValidFrom

Задаваемая дата должна быть в будущем. Если дата не находится в будущем, свойство StsRefreshTokensValidFrom не задано. Если дата находится в будущем, stsRefreshTokensValidFrom имеет текущее время (а не дата, указанная командой Set-MsolUser).

Обеспечение проверки списка отзыва сертификатов для Центров сертификации

При загрузке УЦ в хранилище доверия Microsoft Entra вам не нужно включать CRL или атрибут CrlDistributionPoint. Вы можете загрузить сертификат ЦС без конечной точки CRL (списка отзыва сертификатов), и аутентификация на основе сертификатов не завершится ошибкой, если ЦС не указывает список отзыва сертификатов.

Чтобы усилить безопасность и избежать неправильных настроек, администратор политики аутентификации может потребовать, чтобы аутентификация CBA завершалась неудачей, если ЦС, который выдает сертификат конечного пользователя, не настраивает список отзыва сертификатов.

Включение проверки списка отзыва сертификатов

  1. Выберите "Требовать проверку списка отзыва сертификатов" (рекомендуется), чтобы включить проверку списка отзыва сертификатов.

    Снимок экрана, демонстрирующий процесс требования проверки списка отзыва сертификатов.

    Если этот параметр включен, CBA завершается ошибкой, если сертификат конечного пользователя поступает из ЦС, который не конфигурирует список отзыва сертификатов.

  2. Администратор политики аутентификации может исключить УЦ, если в его списке отзыва сертификатов есть проблемы, которые необходимо исправить. Выберите "Добавить исключение" и выберите любые ЦС, которые следует исключить.

    Скриншот, как освободить УЦ от проверки CRL.

  3. ЦС в исключенном списке не нужно настраивать список отзыва сертификатов, а сертификаты конечных пользователей, которые они выдают, не завершают проверку подлинности.

    Выберите ЦС и нажмите кнопку "Добавить". Используйте текстовое поле поиска для фильтрации списков ЦС и выбора определенных ЦС.

    Снимок экрана: УЦ, исключенные из проверки CRL.

Руководство по настройке списков отзыва сертификатов (базовых и разностных списков отзыва сертификатов) для Microsoft Entra ID

  1. Публикация доступных crls:

    • Убедитесь, что ЦС публикует как основные CRL, так и инкрементные CRL (если применимо) на URL-адреса, доступные через HTTP.
    • Microsoft Entra ID не может проверить сертификаты, если списки отзыва сертификатов размещаются на внутренних серверах. URL-адреса должны быть высокодоступными, с высокой производительностью и устойчивостью, для предотвращения проблем аутентификации из-за недоступности.
    • Проверьте доступность CRL, проверив URL-адрес CRL в браузере и используя certutil -url для проверки доступности.

  2. Настройте URL-адреса CRL в Microsoft Entra ID:

    • Отправьте общедоступный сертификат ЦС в Microsoft Entra ID и настройте точки распространения CRL (CDPS).
    • Базовый URL-адрес отзыва сертификатов: содержит все отозванные сертификаты.
    • URL для delta CRL (необязательный, но рекомендуемый): содержит сертификаты, отозванные с момента публикации последнего базового CRL.
    • Используйте такие средства, как certutil, чтобы проверить действительность CRL и устранить проблемы с сертификатами и CRL локально.

  3. Задайте срок действия:

    • Задайте базовый период срока действия CRL достаточно долго, чтобы сбалансировать операционные расходы и безопасность (обычно дни до недель).
    • Установите более короткий срок действия разностного списка отзыва сертификатов (обычно 24 часа) для своевременного распознавания отозванных сертификатов.
    • Сокращение срока действия разностного CRL повышает безопасность, уменьшая окно, в котором отозванные сертификаты остаются действительными, но увеличивает нагрузку на процессы выдачи и распространения.
    • Рекомендуемая 24-часовая допустимость по умолчанию для разностных ЦР на серверах Windows — это общепринятая стандартная безопасность и производительность.
    • Microsoft Entra ID предназначен для эффективной обработки частых обновлений разностных списков отзыва сертификатов без снижения производительности, а текущие улучшения помогают улучшить это еще больше.
    • Microsoft Entra ID применяет механизмы регулирования для защиты от атак DDoS во время загрузки разностных сертификатов CRL, что может привести к временным ошибкам, таким как "AADSTS2205013" для небольшого подмножества пользователей.

  4. Обеспечение высокой доступности и производительности:

    • Размещайте списки отзыва сертификатов (CRL) на надежных веб-серверах или в сетях доставки содержимого (CDN), чтобы минимизировать задержки или сбои при их извлечении.
    • Отслеживайте публикацию и доступность CRL проактивно.

  5. Защита от атак регулирования и распределенных атак типа "отказ в обслуживании" (DDoS):

    • Для защиты служб и пользователей Microsoft Entra ID применяется ограничение скорости к операциям извлечения списка отзыва сертификатов во время высокой нагрузки или потенциального злоупотребления.
    • Запланируйте публикацию и циклы окончания срока действия списка отзыва сертификатов (CRL) в нерабочее время, чтобы свести к минимуму вероятность ограничения, влияющего на пользователей.

  6. Управление размером CRL

    • Сохраняйте полезные данные CRL как можно меньшими, идеально, частой выдачей и архивацией старых записей CRL, для повышения скорости извлечения и снижения использования пропускной способности.

  7. Включение проверки списка отзыва сертификатов

    • Принудительно применяйте валидацию списка отзыва сертификатов в политиках Microsoft Entra ID для обеспечения обнаружения отозванных сертификатов. Дополнительные сведения см. в разделе «Включение проверки списка отзыва сертификатов».
    • Рассматривайте временное обходное решение CRL только в качестве последнего средства во время устранения неполадок, с учетом рисков безопасности.

  8. Тестирование и мониторинг

    • Выполняйте регулярные тесты, чтобы убедиться, что списки отзыва сертификатов (CRL) можно скачать и правильно распознать в Microsoft Entra ID.
    • Используйте мониторинг для обнаружения и быстрого устранения проблем с доступностью или проверкой списка отзыва сертификатов (CRL).

Справочник по ошибкам CRL

Код ошибки и сообщение Description Распространенные причины Recommendations
AADSTS500171: сертификат был отменен. Обратитесь к администратору. Сертификат находится в CRL, указывающем на его отзыв. Сертификат отозван администратором. Если сертификат включен в CRL по ошибке, попросите выдающий ЦС переиздать CRL с обновленным перечнем, который точно отражает необходимые отзыва.
AADSTS500172: сертификат "{name}", выданный "{issuer}", недействителен. Текущее время: "{curTime}". Сертификат NotBefore: "{startTime}". Сертификат NotAfter: "{endTime}". CRL недействителен по времени. Списки отзыва сертификатов (CRLs) или разностные списки отзыва, используемые для проверки сертификата, имеют временные проблемы, например, истекшие списки отзыва или неправильно настроенные периоды их публикации и действия. — Убедитесь, что даты NotBefore и NotAfter сертификата правильно охватывают текущее время.
— Убедитесь, что основные и дифференциальные CRL, опубликованные вашим ЦС, не истекли.
AADSTS500173. >Не удается скачать список отзыва сертификатов (CRL). Недопустимый код состояния {code} из точки распространения CRL. Обратитесь к администратору. Не удалось скачать CRL из-за проблем с конечной точкой. — конечная точка CRL возвращает ошибки HTTP (например, 403)
— срок действия CRL истек без обновления		 Убедитесь, что конечная точка CRL возвращает допустимые данные.
— Чтобы удостовериться, что Центр сертификации регулярно публикует обновленные списки отзыва сертификатов (CRL)
— URL-адрес CRL недоступен из-за проблем с сетью, блоков брандмауэра или простоя сервера.
— Включение защитного механизма CRL для блокировки недостоверных сертификатов.
AADSTS500174: Не удалось создать допустимый список отзыва сертификатов (CRL) из ответа. Microsoft Entra ID не может обработать или использовать список отзыва сертификатов (CRL), полученный из указанной точки распространения. — URL-адрес CRL недоступен из-за проблем с сетью, блоков брандмауэра или простоя сервера.
— скачанный файл CRL поврежден, неполный или неправильно отформатирован.
— URL-адреса в полях CDP сертификата не указывают на допустимые файлы CRL или неправильно настроены.		 — Проверка доступности, действительности и целостности списка отзыва сертификатов.
— проверьте файл CRL для повреждения или неполного содержимого.
AADSTS500175: сбой проверки отзыва, так как список отзыва сертификатов (CRL) для одного сертификата в цепочке отсутствует. Во время проверки отзыва сертификата Microsoft Entra не удалось найти требуемый сегмент или часть списка отзыва сертификатов (CRL). — Файл CRL, скачанный из точки распространения CRL (CDP), поврежден или усечен.
— Неправильная или неполная публикация списка отозванных сертификатов ЦС.
— Проблемы с сетью, вызывающие неполные или неудачное скачивание списка отзыва сертификатов (CRL).
— Неправильной настройки URL-адресов или сегментов файлов точки распространения CRL.		 — Проверка целостности CRL
— опубликование заново или пересоздание списка отзыва сертификатов
— Проверка параметров сети и прокси-сервера
— Убедитесь, что на всех ЦС правильно настроена точка распространения сертификатов (CDP).
AADSTS500176: Центр сертификации, выдавший ваш сертификат, не был настроен в арендаторе. Обратитесь к администратору. Microsoft Entra не удалось найти выдавающий сертификат ЦС в своем доверенном хранилище сертификатов. Это предотвращает успешную проверку цепочки доверия сертификата пользователя. — Сертификат удостоверяющего центра (корневой или промежуточный) не загружен или не настроен в списке доверенных сертификатов Microsoft Entra ID.
— Цепочка сертификатов, хранящаяся у клиента или на устройстве, неправильно связывается с доверенным сертификатом ЦС.
— Несоответствие или отсутствие ссылок на идентификатор ключа субъекта (SKI) и идентификатор ключа удостоверяющего центра (AKI) в цепочке сертификатов.
— Срок действия выданного сертификата может быть истек, отменен или недопустим.		 — Администратор арендатора должен загрузить все соответствующие корневые и промежуточные сертификаты удостоверяющего центра в хранилище доверенных сертификатов Microsoft Entra через административный центр Microsoft Entra.
— Убедитесь, что SKI сертификата удостоверяющего центра-эмитента соответствует AKI в сертификате пользователя, чтобы обеспечить правильную связь цепочки.
— Используйте такие средства, как certutil или OpenSSL, чтобы убедиться, что полная цепочка сертификатов цела, непрерывна и доверена.
— Замените все истекшие или отозванные сертификаты ЦС в доверенном хранилище для поддержания действительности цепочки.
AADSTS500177: список отзыва сертификатов (CRL) неправильно настроен. Точка распространения delta CRL настраивается без соответствующей базовой точки распространения CRL. Обратитесь к администратору. Указывает, что конфигурация ЦС включает точку распространения Delta CRL, но соответствующая точка распространения базовой CRL отсутствует или настроена неправильно. — Точки распространения CRL (CDP), настроенные в параметрах сертификатов или настройках УЦ, являются недопустимыми, недоступными или неверными URL-адресами.
— ЦС не опубликовал список отзыва сертификатов (CRL) должным образом или CRL устарел, что приводит к сбоям проверки подлинности.
— Устройства или службы Microsoft Entra ID не могут получить доступ к URL-адресам CRL из-за правил брандмауэра, ограничений прокси-сервера или проблем с сетевым подключением.
— Неправильно настроенные параметры либо в Microsoft Entra, либо в центре сертификации, касающиеся обработки списков отозванных сертификатов.		 — Подтвердите и обновите точки распространения CRL до точных общедоступных URL-адресов.
— Убедитесь, что CRL публикуются и обновляются регулярно до истечения срока действия. По возможности автоматизировать публикацию CRL.
— Разрешить необходимый сетевой трафик точкам распространения CRL путем обновления правил брандмауэра, прокси-сервера или устройства безопасности.
— Проверьте скачанные CRL на наличие повреждений или обрезки и при необходимости повторно опубликуйте.
— Дважды проверьте конфигурации Microsoft Entra ID и УЦ, связанные с публикацией списка отзыва сертификатов (CRL), URL-адресами и политиками проверки.
AADSTS500178. Не удалось получить действительные сегменты CRL для {type}. Повторите попытку позже. Microsoft Entra ID не удалось скачать или обработать все необходимые сегменты списка отзыва сертификатов (CRL) во время проверки сертификата. — CRL публикуется в нескольких сегментах, а один или несколько сегментов отсутствуют, повреждены или недоступны.
— Ограничения сети или брандмауэры блокируют доступ к одному или более сегментам CRL.
— Доступные сегменты CRL могут быть просроченными или не обновлены должным образом.
— Неправильные URL-адреса или отсутствующие записи в точках распространения CRL сертификата, где размещаются сегменты.		 — вручную скачайте все сегменты CRL из своих точек распространения и проверьте полноту и действительность.
— Убедитесь, что все URL-адреса сегмента CRL правильно настроены и доступны. Обновите конфигурации сертификатов или ЦС, если URL-адреса CDP изменились.
— Убедитесь, что ЦС публикует и поддерживает все сегменты CRL должным образом без повреждения или отсутствующих частей.
AADSTS500179: истекло время ожидания проверки списка отзыва сертификатов. Повторите попытку позже. Произошло истечение времени ожидания или прерывание загрузки CRL. — размер CRL превышает допустимые пределы
— задержка сети или нестабильность		 - Сохраняйте размер CRL до 20 МБ (коммерческая Azure) или 45 МБ (Azure для государственных организаций США)
— Задайте Next Update интервал по крайней мере на одну неделю
— Мониторинг производительности загрузки CRL с помощью журналов входа.
AADSTS500183: сертификат был отменен. Обратитесь к администратору Попытка проверки подлинности не удалась, поскольку клиентское устройство представило сертификат, который был отозван центром сертификации, выпустившим сертификат. Сертификат, используемый для проверки подлинности, найден в списке отзыва сертификатов (CRL) или помечен как отозванный ЦС. — Администратор клиента должен обеспечить, чтобы новый сертификат был правильно подготовлен и признан доверенным в Microsoft Entra ID.
— Убедитесь, что CRL и дельта CRL, опубликованные центром сертификации, актуальны и доступны для устройств.
AADSTS2205011. Скачанный список отзыва сертификатов (CRL) не имеет допустимого формата кодирования ASN.1. Обратитесь к администратору. CRL-файл, извлекаемый Microsoft Entra, неправильно закодирован в соответствии с стандартом "Abstract Syntax Notation One" (ASN.1) и правилами "Distinguished Encoding Rules" (DER), которые необходимы для анализа и проверки данных CRL. — Файл CRL поврежден или усечен во время публикации или передачи.
— CRL был создан или закодирован неправильно ЦС и не соответствует стандартам ASN.1 DER.
— Преобразования формата файлов (например, неправильное кодирование base64/PEM) повреждало данные CRL.		 — Вручную скачайте CRL и проверьте его с помощью таких инструментов, как openssl или специализированные парсеры ASN.1, чтобы убедиться, что он повреждён или неправильно сформирован.
— Перегенерируйте и опубликуйте заново CRL от ЦС, обеспечив соответствие стандартам кодирования ASN.1 DER.
— Убедитесь, что программное обеспечение или инструменты Центра Сертификации, создающие списки СВС, соответствуют RFC 5280 и правильно кодируют их в формате ASN.1 DER.
AADSTS2205012: Попытка скачать список отзыва сертификатов (CRL) из "{uri}" во время интерактивного входа завершилась истечением времени ожидания. Мы пытаемся скачать еще раз. Повторите попытку через несколько минут. Microsoft Entra ID не удалось получить файл CRL в течение ожидаемого времени из указанного URL-адреса. — службы Microsoft Entra ID не могут достичь точки распространения CRL из-за сбоев сети, ограничений брандмауэра или DNS.
— Сервер, на котором размещен список отзыва сертификатов (CRL), отключен, перегружен или не отвечает своевременно.
— Загрузка больших списков отзыва сертификатов занимает больше времени, что может привести к истечению времени ожидания.
 — Используйте дельта-CRL, чтобы уменьшить размер файлов CRL и чаще их обновлять, чтобы сократить время загрузки.
Выполняйте публикацию или обновление СОР в часы низкой нагрузки для уменьшения нагрузки на сервер и повышения быстроты отклика.
— отслеживайте и поддерживайте высокий уровень доступности и производительность серверов размещения CRL.
AADSTS2205013. Скачивание списка отзыва сертификатов (CRL) в настоящее время выполняется. Повторите попытку через несколько минут. Происходит, когда несколько попыток проверки подлинности одновременно активируют скачивание CRL, и система по-прежнему обрабатывает текущее извлечение CRL. — Когда срок действия списка отзыва сертификатов истекает или скоро истечет, несколько пользователей, выполняющих вход одновременно, могут вызвать попытки одновременно скачать свежий список отзыва сертификатов.
— Microsoft Entra ID применяет механизм блокировки, чтобы предотвратить одновременные скачивания одного и того же списка отозванных сертификатов для уменьшения нагрузки и потенциальных условий гонки. Это приводит к временному отклонению некоторых запросов проверки подлинности с этим сообщением о повторной попытке.
— Большое число пользователей или интенсивные всплески входа могут увеличить частоту этой ошибки.		 — Подождите несколько минут для завершения текущего скачивания списка отзыва сертификатов, прежде чем повторить вход.
— Убедитесь, что CRLs публикуются и обновляются регулярно до истечения срока действия, чтобы уменьшить количество принудительных повторных загрузок.
AADSTS2205014:Попытка скачать список отзыва сертификатов (CRL) из "{uri}" во время интерактивного входа превысила максимальный допустимый размер ({size} байт). CRL подготавливается с ограничением загрузки службы CRL, повторите попытку через несколько минут. Файл CRL, который Microsoft Entra ID попыталась скачать, оказался больше установленного службой предела размера. Microsoft Entra попытается скачать в фоновом режиме с более высокими ограничениями. — Файл CRL, опубликованный ЦС, слишком велик, часто из-за большого количества отозванных сертификатов.
— Большие списки отозванных сертификатов могут увеличиваться, если отозванные сертификаты не удаляются или если УЦ длительно хранит данные об отзыве.
— Большие размеры CRL увеличивают время загрузки и потребление ресурсов во время проверки подлинности на основе сертификатов.		 — удалите устаревшие или просроченные сертификаты из базы данных ЦС.
— сократить срок действия CRL и увеличить частоту публикации, чтобы обеспечить управляемость размеров CRL.
— реализуйте дельта-CRL для распространения только инкрементальной информации об отзыве и сокращения использования полосы пропускания.
AADSTS2205015: проверка подписи списка отзыва сертификатов (CRL) не удалась. Ожидаемый SubjectKeyIdentifier {expectedSKI} не соответствует AuthorityKeyIdentifier CRL {crlAK}. Обратитесь к администратору. Не удалось проверить криптографическую подпись в списке отзыва сертификатов, который был подписан сертификатом, идентификатор ключа субъекта которого (SKI) не соответствует идентификатору ключа центра сертификации (AKI), ожидаемому Microsoft Entra ID. — Сертификат удостоверяющего центра, который использован для подписи CRL, изменился, но новый SKI не был обновлен или синхронизирован в списке доверенных сертификатов.
— CRL устарел или несовместим из-за неправильной настройки в иерархии PKI.
— Неверные или отсутствующие промежуточные сертификаты ЦС в списке доверенных сертификатов.
— Сертификат подписи CRL может не обладать необходимыми параметрами использования ключа для подписывания CRL.		 — Проверьте, что идентификатор ключа субъекта (SKI) сертификата УЦ, подписывающего CRL, соответствует идентификатору ключа центра (AKI) в списке отзыва сертификатов (CRL).
— Убедитесь, что сертификат подписывающего Центра сертификации загружен и проверен в Microsoft Entra ID.
— Убедитесь, что сертификат ЦС, используемый для подписи списка отозванных сертификатов, имеет соответствующие флаги использования ключей, такие как подпись CRL (Certificate Revocation List), и убедитесь, что цепочка сертификатов целостная и неразорванная.
— Загрузка или обновление правильных корневых и промежуточных сертификатов ЦС в списке доверенных центров сертификации Microsoft Entra ID и убедитесь, что сертификат, используемый для подписи CRL, включен и правильно настроен.
AADSTS7000214: сертификат был отозван. Сертификат был отозван. — Сертификат, указанный в CRL — замена отзываемого сертификата
— исследование причины отзыва вместе с удостоверяющим центром
— мониторинг жизненного цикла и продления сертификата

Часто задаваемые вопросы

В следующих разделах рассматриваются распространенные вопросы и ответы, связанные с списками отзыва сертификатов.

Существует ли ограничение для размера списка отзыва сертификатов?

Применяются следующие ограничения размера CRL:

  • Ограничение на интерактивную загрузку при входе: 20 МБ (Azure Global, включая GCC), 45 МБ для Azure для правительства США (включая GCC High, Министерство обороны).
  • Ограничение загрузки службы: 65 МБ (Azure Global, включая GCC), 150 МБ для Azure правительства США (включает GCC High, Министерство обороны).

При неудаче загрузки списка отзыва сертификатов появится следующее сообщение:

"Список отзыва сертификатов (CRL), скачанный из {URI}, превысил максимальный допустимый размер ({size} байт) для списков отзыва сертификатов в Microsoft Entra ID. Повторите попытку через несколько минут. Если проблема сохранится, обратитесь к администраторам клиента".

Скачивание остается в фоновом режиме с более высокими ограничениями.

Мы просматриваем влияние этих ограничений и планируем их удалить.

Я вижу допустимый набор конечных точек списка отзыва сертификатов (CRL), но почему я не вижу отзыва CRL?

  • Убедитесь, что точка распространения CRL имеет допустимый URL-адрес HTTP.
  • Убедитесь, что точка распространения CRL доступна через URL-адрес для доступа к Интернету.
  • Убедитесь, что размеры CRL (списка отзыва сертификатов) находятся в пределах нормы.

Как мгновенно отозвать сертификат?

Выполните действия, чтобы вручную отозвать сертификат.

Как включить или отключить проверку отзыва сертификатов для определенного ЦС?

Мы рекомендуем отключить проверку списка отзыва сертификатов (CRL), так как вы не сможете отозвать сертификаты. Однако, если вам нужно расследовать проблемы с проверкой СПС, вы можете освободить ЦС от проверки по СПС в административном центре Microsoft Entra. В политике методов проверки подлинности CBA выберите "Настроить ", а затем выберите "Добавить исключение". Выберите ЦС, который требуется исключить, и нажмите кнопку "Добавить".

После настройки конечной точки списка отзыва сертификатов (CRL) конечные пользователи не могут войти в систему и видят сообщение об ошибке: "AADSTS500173: не удалось скачать список отзыва сертификатов". Недопустимый код состояния «Запрещено» от точки распространения CRL.

Если проблема не позволяет Microsoft Entra загружать список отзыва сертификатов (CRL), причиной часто являются ограничения брандмауэра. В большинстве случаев проблему можно устранить, обновив правила брандмауэра для разрешения необходимых IP-адресов, чтобы Microsoft Entra могла успешно загрузить CRL. Дополнительные сведения см. в разделе Загрузите диапазоны IP-адресов Azure и теги служб — общедоступное облако с официального центра загрузок Microsoft.

Как найти список отзыва сертификатов (CRL) для Центра Сертификации (ЦС) или как устранить ошибку "AADSTS2205015: не удалось проверить подпись списка отзыва сертификатов (CRL)"?

Скачайте список отзыва сертификатов (CRL) и сравните сертификат ЦС и сведения из CRL, чтобы убедиться, что значение crlDistributionPoint является допустимым для добавляемого вами ЦС. Вы можете настроить CRL для соответствующего ЦС, сопоставив идентификатор ключа издателя ЦС (SKI) с идентификатором ключа полномочий CRL (AKI) (CA Issuer SKI == CRL AKI).

В следующей таблице и рисунке показано, как сопоставить информацию из сертификата ЦС с атрибутами загружаемого CRL.

Сведения о сертификате Удостоверяющего Центра = Скачанные сведения о списке отзыва сертификатов
Тема = Issuer
Идентификатор ключа субъекта (SKI) = Идентификатор ключа удостоверяющего центра (KeyID)

Снимок экрана: сравнение полей сертификата ЦС с сведениями о CRL.

Дальнейшие шаги

  • Last updated on